7.10. 보안
이제 libreswan에서SECCOMP를 활성화할 수 있습니다.
기술 프리뷰로 seccomp=enabled|tolerant|disabled
옵션이 ipsec.conf
구성 파일에 추가되어SECCOMP(Secure Computing mode)를 사용할 수 있습니다. 이렇게 하면 Libreswan 이 실행할 수 있는 모든 시스템 호출을 허용 목록에 추가하여 syscall 보안이 향상됩니다. 자세한 내용은 ipsec.conf(5)
매뉴얼 페이지를 참조하십시오.
pk12util
RSA-PSS
로 서명된 인증서를 가져올 수 있음
pk12util
툴에서는 RSA-PSS
알고리즘으로 서명된 인증서를 기술 프리뷰로 가져올 수 있습니다.
해당 개인 키를 가져오고 서명 알고리즘을 RSA-PSS
로 제한하는 PrivateKeyInfo.privateKeyAlgorithm
필드가 있는 경우 키를 브라우저로 가져올 때 무시됩니다. 자세한 내용은 https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 을 참조하십시오.
certutil
에서 RSA-PSS
로 서명된 인증서 지원이 향상되었습니다.
certutil
툴에서 RSA-PSS
알고리즘으로 서명된 인증서 지원이 개선되었습니다. 주요 개선 사항 및 수정 사항은 다음과 같습니다.
-
이제
--pss
옵션이 문서화되어 있습니다. -
인증서가
RSA-PSS
를 사용하도록 제한되면PKCS#1 v1.5
알고리즘은 자체 서명 서명에 더 이상 사용되지 않습니다. -
subjectPublicKeyInfo
필드의 빈RSA-PSS
매개변수는 인증서를 나열할 때 더 이상 유효하지 않은 것으로 출력되지 않습니다. -
RSA-PSS
알고리즘으로 서명된 일반 RSA 인증서를 생성하는--pss-sign
옵션이 추가되었습니다.
certutil
에서 RSA-PSS
로 서명된 인증서에 대한 지원은 기술 프리뷰로 제공됩니다.
NSS
가 인증서에서 RSA-PSS
서명을 확인할 수 있음
RHEL 7.5 버전의 nss 패키지 이후 NSS( Network Security Services ) 라이브러리에서는 인증서에 대한 RSA-PSS
서명을 기술 프리뷰로 검증할 수 있습니다. 이번 업데이트 이전에는 SSL
백엔드로 NSS
를 사용하는 클라이언트는 RSA-PSS
알고리즘으로 서명된 인증서만 제공하는 서버에 TLS
연결을 설정할 수 없었습니다.
기능에는 다음과 같은 제한 사항이 있습니다.
-
/etc/pki/nss-legacy/rhel7.config
파일의 알고리즘 정책 설정은RSA-PSS
서명에 사용되는 해시 알고리즘에는 적용되지 않습니다. -
RSA-PSS
매개변수 제한은 인증서 체인 간 무시되며 단일 인증서만 고려합니다.
usbguard
는 화면을 기술 프리뷰로 잠글 때 USB 장치를 차단할 수 있습니다.
USBGuard
프레임워크를 사용하면 이미 실행 중인 usbguard-daemon
인스턴스가 "InsertedDevicePolicy" 런타임 매개변수 값을 설정하여 새로 삽입된 USB 장치를 처리하는 방법에 영향을 미칠 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본 옵션은 장치를 승인할지 여부를 파악하는 정책 규칙을 적용하는 것입니다.
화면에 지식 베이스가 잠긴 동안 USB 장치 차단 문서를 참조하십시오.
(BZ#1480100)